Le novità in materia di diritto delle nuove tecnologie, media, communications e privacy

Innovation Law Insights

Privacy

ePrivacy: pubblicate le nuove proposte di modifica al progetto di regolamento

Il 21 febbraio 2020 la presidenza del Consiglio dell'Unione europea ha pubblicato un documento contenente una parziale revisione della proposta di Regolamento ePrivacy, proponendo, in particolare, modifiche sostanziali delle previsioni relative al trattamento dei metadati nonché all'uso dei cookie o di tecnologie analoghe che, di fatto, allineano ulteriormente il contenuto del progetto in esame con quanto disposto nel GDPR.

A tal riguardo, è senz’altro significativa l’introduzione della possibilità di basarsi sul legittimo interesse sia per il trattamento dei metadati delle comunicazioni elettroniche (art. 6b(1)(e)) sia per la memorizzazione di cookie o tecnologie simili sui terminali degli utenti finali (art. 8(1)(g)), purché peraltro ciò avvenga nel rispetto di ulteriori condizioni e garanzie specifiche. Infatti, le medesime norme prevedono che, per poter basare il trattamento sul legittimo interesse, il titolare dovrà: (i) effettuare una valutazione d'impatto sulla protezione dei dati (la "DPIA") – e, ove necessario, consultare l’autorità di controllo competente –, (ii) informare gli utenti finali in merito alle attività di trattamento effettuate nonché del diritto di opporsi a tale trattamento, (iii) predisporre misure tecniche e organizzative adeguate (e.g., pseudonimizzazione, cifratura) e (iv) astenersi dal condividere con terzi metadati o informazioni raccolte tramite l'uso di cookie o tecnologie simili, salvo non siano state rese anonime.

Oltre alle summenzionate limitazioni, è altresì disposto che gli interessi degli utenti finali prevarranno sugli interessi dei fornitori di reti o servizi di comunicazione elettronica qualora i metadati o le informazioni raccolte attraverso i cookie o tecnologie simili a) servano a profilare gli utenti, ovvero b) contengano categorie particolari di dati personali ex art. 9 del GDPR. Infine, l’interesse del service provider all’utilizzo di cookie o di tecnologie simili non può in nessun caso prevalere sugli interessi dell’utente finale qualora quest’ultimo sia un minore.

Le revisioni proposte fanno seguito alle discussioni del Gruppo Telecomunicazioni e società dell'informazione (il "WP TELE"), del Comitato dei Rappresentanti Permanenti (il "Coreper") e del Consiglio Trasporti, Telecomunicazioni ed Energia (il "TTE"), nel corso delle quali – secondo quanto riportato dalla Presidenza del Consiglio dell’UE – è emersa chiaramente l’esigenza di apportare modifiche sostanziali al testo del progetto, necessarie al fine di aprire le porte ad un miglior dialogo con le delegazioni degli Stati membri.

Sanzionata Facebook Germany per mancata notifica di nomina di un nuovo DPO

Il Commissario per la protezione dei dati e la libertà d'informazione di Amburgo (l’ "HmbBfDI") ha comminato a Facebook Germany GmbH una sanzione di importo pari a 51.000 euro per non aver correttamente nominato il DPO, in conformità a quanto disposto ai sensi dell’art. 37 par. 7 del GDPR.

Nella relazione annuale dell’Autorità relativa al 2019, l'HmbBfDI afferma in particolare di aver appreso, attraverso un reclamo, che Facebook aveva revocato l’incarico al precedente DPO della filiale tedesca per procedere alla nomina del team di protezione dei dati stanziato nella sede centrale in Irlanda come DPO per tutte le filiali europee. Tuttavia, nonostante la società avesse adempiuto all’obbligo di comunicazione della nomina al Commissario per la protezione delle informazioni e dei dati irlandese, non aveva effettuato la medesima notifica all’HmbBfDI.

Sebbene a prima vista l’importo della sanzione possa sembrare di scarsa entità, rapportata ai numeri associati al nome del big dei social network, occorre considerare che la destinataria non è il colosso da miliardi di dollari, ma la ben più piccola unità tedesca, una società con un fatturato annuo di circa 35 milioni di dollari e la cui attività – a differenza della società madre – non ha ad oggetto il trattamento dei dati personali degli utenti. Ebbene, rivalutata in questi termini, la sanzione può ritenersi significativamente dissuasiva.

Il caso in esame costituisce chiaramente un avvertimento per le altre società, evidenziando come la nomina di un DPO e la notifica all'autorità di controllo locale siano obblighi che – come si legge nel report dell’HmbBfDI – l'autorità per la protezione dei dati "prende sul serio". Pertanto, è importante che le multinazionali che operano in varie giurisdizioni comprendano e rispettino in maniera puntuale le previsioni del GDPR, non sottovalutando le conseguenze che potrebbero comportare persino delle violazioni minori della normativa applicabile. Notiamo sempre più spesso che le nomine a DPO soprattutto di gruppi internazionali non sono formalizzate in una nomina e una delibera del CdA, non sono notificate alle autorità di controllo di tutte le società del gruppo per cui il DPO opera e avvengono con notevole ritardo. Al contrario, uno degli aspetti che vengono subito richiesti dal Garante nell’ambito di un’ispezione è la prova dell’avvenuta nomina del DPO e la giustificazione di un’eventuale notifica ritardata. Anche se l’azienda decide di non dover nominare un DPO, deve giustificarlo internamente con un parere da depositare al Garante in caso di contestazione.

IAPP Milan KnowledgeNet - Think Tank

Nell’ambito delle iniziative dello IAPP Milan KnowledgeNet. di cui Giulio Coraggio è uno dei coordinatori, per poter favorire maggiormente lo scambio di idee e la creazione di una community, è stato pensato di creare (i) un canale WhatsApp dedicato allo IAPP Milan KnowledgeNet in cui condividere aggiornamenti e discutere in tempo reale di problematiche privacy per avere uno scambio di idee; e (ii) incontri periodici di think tank presso lo studio in modo da approfondire determinate tematiche e favorire anche il networking. Le regole di partecipazione sono che (i) non ci possono essere più di due persone da ciascuna società/studio legale per evitare una cannibalizzazione; e (ii) tutti devono partecipare alla discussione in modo attivo per evitare la situazione in cui ci siano partecipanti che ascoltano solo per cogliere idee dagli altri.

Chi fosse interessato a partecipare può inviare il suo numero di telefono e la mail a giulio.coraggio@dlapiper.com e lo aggiungeremo al gruppo WhatsApp e alla mailing list delle iniziative.

Technology

La pronuncia dell’Alta Corte di giustizia inglese in materia di cheat software

Gli editori e sviluppatori del famoso videogioco Grand Theft Auto V (“GTA”) hanno agito in giudizio nei confronti degli sviluppatori del software Epsilon, un programma di cheat software che permetteva ai giocatori di GTA di beneficiare di alcuni vantaggi all’interno del videogioco tra i quali, inter alia, la possibilità di generare moneta virtuale, di generare copie di veicoli o armi e di accedere ai cosiddetti “easter eggs”, ottenendo un vantaggio competitivo sugli altri videogiocatori che, per ottenere i medesimi benefici, avrebbero dovuto spendere denaro reale ovvero guadagnato nel corso del gioco.

Gli attori lamentavano che lo sviluppo, distribuzione e vendita di Epsilon costituisse una violazione del loro diritto d’autore, del contratto di licenza del videogioco sottoscritto con Epsilon e che, quest’ultima, inducesse i videogiocatori a violare i termini del contratto di licenza sottoscritto da quest’ultimo all’installazione del gioco. Con riferimento alla violazione del diritto d’autore, i giudici inglesi, accettando la posizione dell’attore, riconoscevano che il convenuto avesse autorizzato la copia del programma di GTA, o una parte sostanziale di esso, in violazione del Copyright, Designs and Patents Act 1988, che ricomprende espressamente nella definizione del termine “copiare” anche la creazione di copie “transient” (i.e., transitorie), come avveniva nel caso di specie.

Mentre rispetto alla violazione del contratto di licenza e all’induzione alla violazione dello stesso da parte dei videogiocatori, i giudici riscontravano che l’end user license agreement (“EULA”) sottoscritto per utilizzare il videogioco contenesse un chiaro divieto in materia di cheating, anche con riferimento a quei soggetti che avessero aiutato altri giocatori ad imbrogliare. Di conseguenza l’Alta Corte riconosceva, da un lato, la responsabilità contrattuale, mentre d’altro, una responsabilità aquiliana in capo ai convenuti per aver indotto altri soggetti alla violazione del contratto di licenza stipulato per giocare al videogioco in virtù del fatto che Epsilon fosse perfettamente a conoscenza del fatto che i giocatori stessero imbrogliando grazie all’utilizzo del cheat software a loro concesso.

L’aspetto più interessante di questa decisione risiede nell’interpretazione da parte dei giudici inglesi delle clausole di esclusione di responsabilità a favore della convenuta contenute nei contratti di licenza del cheat software. Nello specifico, queste non solleverebbero i licenzianti da un’eventuale responsabilità per violazione dei diritti d’autore del titolare del software cheated, definendo queste clausole come “mere window-dressing”.

Pubblicate le linee guida dell’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali in materia di outsourcing

A seguito della chiusura delle consultazioni pubbliche iniziate a luglio 2019, il 6 febbraio 2020 l’Autorità europea delle assicurazioni e delle pensioni aziendali e professionali (“EIOPA”) ha pubblicato la versione finale delle linee guida sull’outsourcing per i fornitori di servizi in cloud. Le guidelines, che si pongono il duplice obbiettivo di fornire una maggiore trasparenza al mercato evitando potenziali interventi normativi arbitrari e, contestualmente, promuovendo un approccio unitario da parte delle autorità di vigilanza per quanto riguarda le aspettative e i processi rilevanti in tema di cloud-sourcing, si applicheranno a tutti i contratti di cloud-sourcing stipulati o emendati dopo il primo di gennaio 2021 dalle imprese di assicurazione e riassicurazione.

Similarmente alle linee guida sull’outsourcing emanate alla fine del 2019 dall’Autorità bancaria europea applicabili agli istituti finanziari, anche il provvedimento dell’EIOPA distingue tra due forme di esternalizzazione: outsourcing generico e outsourcing di funzioni o attività operative critiche o importanti. Il nuovo testo risolve altresì alcuni degli aspetti più controversi che erano emersi a seguito della pubblicazione della prima bozza delle guidelines.

In particolare, si rimanda a quanto previsto dalla Direttiva Solvency II (Direttiva 2009/138/CE) per la definizione di outsourcing, che dovrà essere valutata alla luce della particolare funzione esternalizzata, soprattutto se effettuata su base continuativa e nell’ambito di funzioni che potrebbero essere svolte internamente dall’outsourcer, escludendo così il precedente approccio che imponeva la qualificazione di outsourcing, prima facie, a tutti servizi erogati in cloud. Allo stesso modo, rientra nell’ambito di applicazione delle linee guida qualsiasi forma di esternalizzazione verso soggetti non fornitori di servizi in cloud tout court ma che si affidano, in maniera significativa, ad infrastrutture in cloud per la fornitura dei loro servizi (tramite cd. sub-outsourcing).

In aggiunta, i soggetti che esternalizzano dovranno adottare e mantenere aggiornate specifiche politiche e procedure aziendali che tengano conto di tutte le specificità e i rischi connessi all’esternalizzazione di funzioni in cloud, assicurandosi allo stesso tempo di mantenere un registro contenente tutte le informazioni relative ai contratti di outsourcing stipulati, in particolare se si tratta di funzioni critiche. Tali informazioni dovranno essere messe a disposizione delle autorità se richieste. Le linee guida impongono altresì agli outsourcer di svolgere una serie di valutazioni preventive nella scelta del fornitore dei servizi in cloud e di esercitare alcune forme di controllo successivamente alla stipulazione del contratto.

Infine, i contratti di outsourcing dovranno avere forma scritta ad substantiam e indicare in maniera chiara i rispettivi obblighi e diritti delle parti contrattuali. In particolare, in caso di esternalizzazione di funzioni critiche, le linee guida prevedono che i contratti dovranno indicare, tra gli altri, gli specifici obblighi finanziari in capo alle parti, le limitazioni contrattuali da applicare ai sub-outsourcee in caso di sub-outsourcing, il luogo di conservazione dei dati, i livelli di servizio applicabili, gli obblighi di segnalazione in capo al fornitore di servizi in cloud e i diritti di controllo ed audit dell’outsourcer.

Commercial

Entra in vigore la Direttiva europea a protezione dei consumatori

Il 7 gennaio 2020 è entrata in vigore la Direttiva (EU) 2161/2019 che si pone l’obiettivo di migliorare e modernizzare le norme europee in materia di protezione dei consumatori. La direttiva, che rivede alcuni elementi chiave del precedente impianto normativo posto a tutela dei consumatori, dovrà ora essere implementata dagli Stati membri entro il 28 novembre 2021.

In primo luogo, viene ridefinito il quadro sanzionatorio, aumentando le sanzioni applicabili ai professionisti in caso di violazione delle leggi a tutela dei consumatori che potranno ammontare fino al 4% del fatturato annuo, lasciando agli Stati membri la possibilità di imporre sanzioni più alte in caso di violazioni considerate di particolare gravità. Contestualmente, la direttiva riconosce la possibilità in capo ai consumatori di agire direttamente nei confronti del professionista nel caso in cui abbiano subito un danno a seguito di una condotta qualificabile come pratica commerciale scorretta.

In aggiunta, vengono introdotte nell’ordinamento alcune misure volte a garantire una maggiore trasparenza soprattutto nelle transazioni online, tra le quali, tra le altre, l’obbligo per i professionisti di informare i consumatori nel caso di offerta di prezzi “su misura” a seguito di attività di profilazione e di decisioni automatizzate, l’adozione di misure volte a limitare il fenomeno dei commenti falsi, una proibizione generale alla rivendita dei biglietti acquistati tramite bots, e una maggiore trasparenza per quanto riguardo i parametri impiegati nel determinare l’ordine dei risultati delle ricerche.

Infine, un ulteriore elemento di novità è dato dall’estensione dell’ambito di applicazione della normativa a tutela dei consumatori anche a quei contratti stipulati dal consumatore a titolo gratuito, ossia in cambio dei propri dati personali.

Fintech

Denaro o criptovalute? Le associazioni della Blockchain ricorrono al Tar Lazio

Le due associazioni “Associazione delle imprese attive nella Blockchain in Italia” e “Associazione Blockchained” hanno impugnato davanti al TAR Lazio il provvedimento adottato dall’Agenzia delle entrate riguardante le “istruzioni per la compilazione del modello 2019 per la dichiarazione dei redditi delle persone”, con le quali era previsto l’obbligo di inserire, all’interno della dichiarazione dei redditi delle persone fisiche, le valute virtuali, in quanto qualificabili come redditi finanziari di provenienza estera.

L’impugnazione aveva ad oggetto la parte del provvedimento che annoverava le valute virtuali fra le “altre attività estere di natura finanziaria”, assoggettandole agli obblighi previsti dal cosiddetto “monitoraggio fiscale” introdotto dalla Direttiva 88/361/CEE e recepito in Italia con il decreto legislativo 28 giugno 1990, n. 167. Le ricorrenti lamentavano un’erronea equiparazione tra gli investimenti in attività finanziarie estere e le criptovalute, anche in considerazione dell’esclusione, ai sensi del decreto legislativo 231/2008, dalla categoria degli operatori finanziari dei prestatori di servizi relativi all’utilizzo di valuta virtuale. Contestualmente, i ricorrenti aggiungevano che “il prezzo che viene attribuito alle valute virtuali è dato unicamente dal fatto che la maggior parte di esse esiste in misura finita, essendo asset digitalmente scarsi e irreplicabili, seppure restino strumenti essenzialmente di comunicazione, aventi la sola utilità data dalla loro attitudine al trasferimento, il cui valore è rappresentato dalla somma che qualcuno è disposto a spendere per servirsene”.

Nonostante le suddette argomentazioni, il Tar Lazio respingeva il ricorso affermando che lo stesso legislatore avesse assoggettato agli obblighi di monitoraggio le monete virtuali a seguito delle modifiche, apportate dal decreto legislativo n. 90 del 2017, al decreto legislativo di cui sopra che inserivano le monete virtuali tra le operazioni soggette al monitoraggio fiscale. Con riferimento alla natura delle criptovalute, il Tar si è concentrato principalmente sull’aspetto funzionale delle stesse che impone di applicare il regime di tassazione non tanto in base al mero possesso delle valute virtuali in quanto tali, bensì rispetto al loro utilizzo entro il novero delle diverse operazioni possibili, coerentemente con la loro natura effettiva che è rappresentativa di valori, sia pure scaturente da un riconoscimento pattizio e volontario dei soggetti che le utilizzano, e quindi valutabili come parte del patrimonio del soggetto titolare.

Media

Nuovo regime sanzionatorio nell’ambito del regolamento per la diffusione via satellite e la distribuzione via cavo di programmi televisivi

L’Autorità garante della concorrenza e del mercato (“AGCM”) ha provveduto a modificare l’articolo 16 del regolamento per la diffusione via satellite e la distribuzione via cavo di programmi televisivi approvato con delibera n. 127/00/CONS il primo marzo 2000. Le modifiche introducono un nuovo quadro sanzionatorio applicabile ai soggetti che non forniscano i documenti, i dati e le notizie richieste dall’AGCM ovvero che non ottemperino agli ordini e alle diffide di quest’ultima, prevedendo l’applicazione delle sanzioni pecuniarie indicate all’articolo 1, commi 30 e 30 della legge 31 luglio 1997, n. 249. Inoltre, a seguito della modifica introdotta, in caso di inottemperanza rispetto ad un provvedimento emesso a seguito della riscontrata violazione delle norme in materia di abuso di posizione dominante, la sanzione amministrativa erogata non potrà essere inferiore al 2% e superiore al 5% del fatturato annuo.

Gambling

CGUE sul caso Stanleybet: la betting tax italiana non è in contrasto con la legislazione europea

La Corte di Giustizia Europea si è pronunciata sul rinvio pregiudiziale proposto dalla Commissione tributaria provinciale di Parma in merito all’assoggettamento alla c.d. "betting tax" italiana degli intermediari nazionali della trasmissione dei dati di gioco (i "CTD") collegati a bookmaker senza licenza (causa C-788/18). Si tratta di un nuovo episodio del "caso Stanleybet", nota società di scommesse sportive, la quale gestisce i propri CTD sul territorio italiano tramite licenza maltese, senza possederne una italiana.

In particolare, nonostante il regime di imposizione fiscale introdotto negli ultimi anni dal Governo italiano, il bookmaker maltese ha deciso di continuare ad operare sul territorio nazionale senza versare le imposte sui ricavi realizzati tramite i suoi intermediari in Italia. L’Agenzia delle Dogane e dei Monopoli ha quindi contestato a uno dei CTD di Stanleybet il mancato pagamento dell’imposta unica, ritenendo la società responsabile in solido. Tale avviso di accertamento è stato impugnato da Stanleybet, insieme con il proprio mandatario, sulla base del contrasto con i principi comunitari di libera prestazione dei servizi, di non discriminazione in materia fiscale e di parità di trattamento, e la questione è stata infine sottoposta alla Corte di Giustizia Europea per la pronuncia pregiudiziale.

Ebbene, interrogata sulla questione, la CGUE ha ritenuto che la richiesta di pagamento non possa essere considerata discriminatoria, in quanto l'imposta unica di cui in oggetto si applica a tutti gli operatori che gestiscono scommesse raccolte sul territorio italiano, senza operare alcuna distinzione in base al luogo di stabilimento di tali operatori. "La legge italiana non prevede un regime fiscale diverso a seconda che la prestazione di servizi venga eseguita in Italia o in altri Stati membri" e il potenziale rischio di doppia imposizione (in Italia e a Malta) di Stanleybet deve tener conto del fatto che gli Stati membri dell'UE godono di una certa autonomia in materia fiscale e che, pertanto, non sono obbligati ad adeguare i propri sistemi fiscali ai diversi sistemi di tassazione degli altri Stati membri.

Alla luce di quanto precede, la CGUE è così giunta alla conclusione che la legislazione europea non osta ad una normativa di uno Stato membro che renda i CTD stabiliti in tale Stato membro soggetti ad una imposta sulle scommesse in solido con gli operatori di scommesse, loro mandanti, stabiliti in un altro Stato membro, indipendentemente dal luogo in cui tali operatori siano stabiliti e dall'assenza di concessione per l’organizzazione delle scommesse.

* * * * *

La newsletter è stata redatta dai professionisti dello Studio Legale DLA Piper con il coordinamento del Dott. Filippo Grondona e della Dott. ssa Giordana Babini.

Per maggiori informazioni sugli argomenti trattati nella newsletter, è possibile contattare i soci dello studio responsabili delle questioni in materia di TMT e Privacy, gli Avv.ti Giulio Coraggio e Alessandro Ferrari.

È possibile leggere gratuitamente le predictions per il 2020 su diversi settori redatti dai professionisti del dipartimento di Intellectual Property and Technology dello studio DLA Piper qui, acquistare un libro redatto dagli stessi in materia di intelligenza artificiale e digital transformation qui e visionare una pubblicazione redatta dallo studio DLA Piper a livello globale che illustra la normativa sugli esports di 38 giurisdizioni qui.

DLA Piper Studio Legale Tributario Associato tratta i dati personali in conformità con l'informativa sul trattamento dei dati personali disponibile qui.

Qualora non si volesse più ricevere la presente newsletter o ci si volesse iscrivere alla stessa, è possibile mandare un'email a noemi.buttazzo@dlapiper.com.